بسم الله الرحمن الرحيم
Assalamu'alaikum, kali ini saya akan menjelaskan tentang Extended Access Lists. Ada 2 macam Access lists(ACL), yaitu Standard Access Lists dan Extended Access Lists. Extended ACL ini, bisa disebut sebagai ACL tingkat lanjut atau bisa dibilang lebih maju dari Standard ACL(menurut saya). Hal ini dikarenakan konfigurasinya yang lebih mendetail atau bisa dibilang lebih rumit. Walaupun seperti itu, Standard ACL tidak kalah, justru karena konfigurasinya yang sederhana dan simple, banyak orang yang menggunakannya.
Jadi, maupun Extended dan Standard, keduanya memiliki kelebihan dan kekurangannya masing-masing. Extended ACL ini dipilih jika kebutuhannya lebih tertuju pada sebuah port atau protocol seperti akses untuk telnet, web server, ftp, dan lain sebagainya.
*Oke, langsung saja
Topologi
Pertama, buatlah topologinya terlebih dahulu, kemudian konfigurasi agar semua device dapat saling terhubung. Konfigurasi, dengan menggunakan routing, gunakan saja routing yang sederhana seperti Static ataupun
EIGRP, yang penting semua device dapat saling terhubung dengan baik. Dan tambahkan konfigurasi DNS pada topologi ini, karena konfigurasi tersebut masih berhubungan dengan percobaan konfigurasi Extended Access Lists kita kali ini.
Jika anda takut lupa, atau ingin melihat interface yang anda gunakan, centang saja Always Show Port Labels.
Konfigurasi Extended Access Lists
!Mohon maaf sebelumnya, karena Extended Access Lists ini adalah materi terusan dari materi saya sebelumnya yaitu Standard Access Lists, jadi saya harap anda sudah mengerti dan paham terlebih dahulu tentang Standard ACL, setelah itu barulah anda bisa lebih memahami tentang Extended ACL ini. Dan lagi, karena saya sudah banyak menjelaskan tentang ACL ini di postingan saya sebelumnya(Standard ACL), maka saya tidak akan terlalu banyak menjelaskan lagi di postingan saya kali ini.
A. Menentukan Tujuan
Jadi, tujuan konfigurasi kita kali ini, adalah supaya network 192.10.10.0/24 tidak dapat menggunakan protokol http atau port 80, untuk mengirimkan paket data ke Server. Mudahnya, network 192.10.10.0/24 tidak dapat menggunakan web untuk mengirimkan paket data atau berkomunikasi dengan server. Tapi, network 192.10.10.0/24 tetap bisa mengirimkan paket data atau berkomunikasi dengan server, selain dari menggunakan web atau browser. Contohnya : PC tetap bisa mengirimkan PING pada server.
?Apakah bisa seperti itu?
Bisa, itulah kelebihan Extended ACL dibandingkan dengan Standard ACL. Extended ACL bisa melakukan filtering atau penyaringan paket data tidak hanya dari source atau sumber paket datanya saja seperti pada Standard ACL, namun Extended ACL, bisa juga melakukan filtering atau penyaringan paket data berdasarkan destination atau tujuan paket data, port dan protocol yang digunakan oleh paket data tersebut.
B. Menentukan Device yang Akan di Konfigurasi Access Lists
Sebaiknya untuk konfigurasi Extended access list, ditempatkan pada device yang paling dekat dengan source atau sumber paket data. (menurut saya)Ini dimaksudkan untuk menghemat bandwidth dan supaya traffic atau lalu lintas data tidak padat.
Jika dalam suatu jaringan berskala besar seperti WAN, lalu anda mengkonfigurasi Extended ACL ini dekat dengan Destination atau tujuan paket data seperti pada konfigurasi Standard ACL, seandainya source dengan destination paket data sangat jauh, maka untuk mendeny atau memfilter sebuah paket data saja membutuhkan bandwidth yang tidak sedikit, dan lagi paket tersebut hanya memperpadat(menuh-menuhin) traffic data saja.
Bagaimana tidak menuh-menuhin lalu lintas data, "buat apa jalan jauh-jauh kalau ujung-ujungnya dibuang"(udah kaya curhat^^).
Tapi, pada konfigurasi saya kali ini dikarenakan topologi jaringan yang saya gunakan berskala kecil, saya akan mencoba untuk mengkonfigurasi Extended ACL dekat dengan destination, yaitu pada router1.
C. Set Access listsnya
Ket :
- access-list = berguna untuk mengenable atau mengaktifkan access list,
- 100 = ACL Number, yang digunakan untuk menandakan bahwa access list yang kita gunakan adalah access list yang Extended. Karena range ACL Number untuk Extended ACL adalah 100-199,
- deny = berguna untuk mendeny, menolak atau melarang paket data,
- tcp = protokol besar untuk transmisi atau pertukaran data yang didalamnya terdapat beberapa port dan beberapa protokol kecil. Dalam lingkup protokol besar inilah kita akan mengkonfigurasi access lists. Contohnya seperti yang sedang kita konfigurasi sekarang, kita sedang mengkonfigurasi port 80 dan protokol http, port dan protokol ini terdapat dalam protokol untuk transmisi data, yaitu TCP.
Jadi, inilah yang membuat konfigurasi extended acl menjadi lebih beragam. "Berbeda protokol, berbeda pula konfigurasi dan tujuan yang bisa kita gunakan". Untuk melihat beberapa protokol besar yang bisa kita konfigurasi adalah dengan menggunakan ?(tanda tanya)
Itulah beberapa protokol besar yang bisa kita konfigurasi, mohon maaf karena saya tidak dapat menjelaskannya satu-persatu.
- 192.10.10.0 = source address atau sumber paket data dan juga bisa dibilang network yang akan kita set hak akses paket datanya,
- 0.0.0.255 = wildcard dari network tersebut,
- host = berguna untuk menandakan bahwa destination atau tujuan data adalah sebuah host atau address dari sebuah device.
Sama seperti pada source, ada 3 pilihan yang bisa kita gunakan untuk menentukan source ataupun destination yaitu :
1. A.B.C.D = maksudnya untuk langsung memasukkan source atau destinationnya.
Contohnya seperti konfigurasi source address diatas, yaitu langsung 192.10.10.0, tanpa ada kata host lagi didepannya. Biasanya memang digunakan untuk IP network, bukan untuk spesifik ip sebuah host.
2. any = semua, bisa semua source address ataupun semua destination
3. host = berguna untuk menandakan bahwa source atau destination
adalah sebuah host atau address dari sebuah device.
- 13.13.13.2 = destination address,
- eq(equal) = menandakan bahwa kita akan menentukan port dan protokol yang boleh digunakan atau tidak,
- www(HTTP, 80) = protokol dan port yang ditentukan.
Jadi, seandainya kita terjemahkan atau kita baca secara keseluruhan konfigurasi ini akan berbunyi : "Access list 100(extended) mendeny atau melarang paket data yang menggunakan protokol tcp dari network 192.10.10.0/24 ke (host)13.13.13.2, terutama jika paket data tersebut melewati port atau menggunakan protokol www(port 80, protocol http)".
D. Membuka Jalan Bagi Semua Device untuk Saling Berkomunikasi
Setelah tadi kita telah melarang network 192.10.10.0/24 untuk mengirimkan paket data atau berkomunikasi denga server melalui protokol tcp yaitu pada port 80, supaya network 192.10.10.0/24 tetap bisa berkomunikasi dengan server, maka sekarang kita buka jalur lain yaitu dengan melalui protokol ip.
ket :
- access-list 100 = access lists yang dikonfigurasi
- permit = kebalikan dari deny, yaitu untuk memperbolehkan paket data
- ip = protokol untuk paket data yang akan kita set
- any = semua source atau sumber paket data
- any = semua destination atau tujuan paket data
Jadi, kalau diterjemahkan : "access list 100 membolehkan paket data yang menggunakan protokol IP dari semua source(sumber paket data) ke semua destination(tujuan paket data)"
E. Set Interface untuk Access Lists
Kali ini, kita set di interface yang dimana paket data akan masuk ke router dari arah source address(sumber paket data).
Sama seperti pada Standard Access Lists, pada Extended ACL inipun kita harus menentukan atau menyetting eksekutor untuk ACL ini, dimanakah akan terjadi filtering atau penyaringan paket data.
Verifikasi
Lakukan PING dari PC ke server, coba buka web dari PC(buka domain yang sudah dibuat di server), dan cek acl pada router1 dengan perintah show access-lists.
Berhasil, karena kita telah membuka akses untuk semua network untuk saling berkomunikasi melalui protokol ip.
Gagal, sesuai dengan tujuan konfigurasi kali ini.
Ada 12 paket data yang dideny atau dibuang(web), dan ada 4 paket data yang berhasil di forward atau lewat(PING).
Dengan begitu, anda telah berhasil mengkonfigurasi Extended Access Lists. Sebenarnya masih banyak sekali konfigurasi yang bisa anda lakukan dengan Extended Access Lists ini, namun saya tidak dapat mencontohkannya satu-persatu, karena kembali lagi kepada kebutuhan dari konfigurasi itu sendiri digunakan untuk apa. Jadi, tidak mungkin saya mencontohkan semua konfigurasi untuk semua kondisi yang mungkin terjadi.
Sekian dari saya, mohon maaf apabila banyak salah dan kurang, semangat belajar dan mencoba, akhir kata . . .
Wassalamu'alaikum wr wb
A. Menentukan Tujuan
Jadi, tujuan konfigurasi kita kali ini, adalah supaya network 192.10.10.0/24 tidak dapat menggunakan protokol http atau port 80, untuk mengirimkan paket data ke Server. Mudahnya, network 192.10.10.0/24 tidak dapat menggunakan web untuk mengirimkan paket data atau berkomunikasi dengan server. Tapi, network 192.10.10.0/24 tetap bisa mengirimkan paket data atau berkomunikasi dengan server, selain dari menggunakan web atau browser. Contohnya : PC tetap bisa mengirimkan PING pada server.
?Apakah bisa seperti itu?
Bisa, itulah kelebihan Extended ACL dibandingkan dengan Standard ACL. Extended ACL bisa melakukan filtering atau penyaringan paket data tidak hanya dari source atau sumber paket datanya saja seperti pada Standard ACL, namun Extended ACL, bisa juga melakukan filtering atau penyaringan paket data berdasarkan destination atau tujuan paket data, port dan protocol yang digunakan oleh paket data tersebut.
B. Menentukan Device yang Akan di Konfigurasi Access Lists
Sebaiknya untuk konfigurasi Extended access list, ditempatkan pada device yang paling dekat dengan source atau sumber paket data. (menurut saya)Ini dimaksudkan untuk menghemat bandwidth dan supaya traffic atau lalu lintas data tidak padat.
Jika dalam suatu jaringan berskala besar seperti WAN, lalu anda mengkonfigurasi Extended ACL ini dekat dengan Destination atau tujuan paket data seperti pada konfigurasi Standard ACL, seandainya source dengan destination paket data sangat jauh, maka untuk mendeny atau memfilter sebuah paket data saja membutuhkan bandwidth yang tidak sedikit, dan lagi paket tersebut hanya memperpadat(menuh-menuhin) traffic data saja.
Bagaimana tidak menuh-menuhin lalu lintas data, "buat apa jalan jauh-jauh kalau ujung-ujungnya dibuang"(udah kaya curhat^^).
Tapi, pada konfigurasi saya kali ini dikarenakan topologi jaringan yang saya gunakan berskala kecil, saya akan mencoba untuk mengkonfigurasi Extended ACL dekat dengan destination, yaitu pada router1.
C. Set Access listsnya
Ket :
- access-list = berguna untuk mengenable atau mengaktifkan access list,
- 100 = ACL Number, yang digunakan untuk menandakan bahwa access list yang kita gunakan adalah access list yang Extended. Karena range ACL Number untuk Extended ACL adalah 100-199,
- deny = berguna untuk mendeny, menolak atau melarang paket data,
- tcp = protokol besar untuk transmisi atau pertukaran data yang didalamnya terdapat beberapa port dan beberapa protokol kecil. Dalam lingkup protokol besar inilah kita akan mengkonfigurasi access lists. Contohnya seperti yang sedang kita konfigurasi sekarang, kita sedang mengkonfigurasi port 80 dan protokol http, port dan protokol ini terdapat dalam protokol untuk transmisi data, yaitu TCP.
Jadi, inilah yang membuat konfigurasi extended acl menjadi lebih beragam. "Berbeda protokol, berbeda pula konfigurasi dan tujuan yang bisa kita gunakan". Untuk melihat beberapa protokol besar yang bisa kita konfigurasi adalah dengan menggunakan ?(tanda tanya)
Itulah beberapa protokol besar yang bisa kita konfigurasi, mohon maaf karena saya tidak dapat menjelaskannya satu-persatu.
- 192.10.10.0 = source address atau sumber paket data dan juga bisa dibilang network yang akan kita set hak akses paket datanya,
- 0.0.0.255 = wildcard dari network tersebut,
- host = berguna untuk menandakan bahwa destination atau tujuan data adalah sebuah host atau address dari sebuah device.
Sama seperti pada source, ada 3 pilihan yang bisa kita gunakan untuk menentukan source ataupun destination yaitu :
1. A.B.C.D = maksudnya untuk langsung memasukkan source atau destinationnya.
Contohnya seperti konfigurasi source address diatas, yaitu langsung 192.10.10.0, tanpa ada kata host lagi didepannya. Biasanya memang digunakan untuk IP network, bukan untuk spesifik ip sebuah host.
2. any = semua, bisa semua source address ataupun semua destination
3. host = berguna untuk menandakan bahwa source atau destination
adalah sebuah host atau address dari sebuah device.
- 13.13.13.2 = destination address,
- eq(equal) = menandakan bahwa kita akan menentukan port dan protokol yang boleh digunakan atau tidak,
- www(HTTP, 80) = protokol dan port yang ditentukan.
Jadi, seandainya kita terjemahkan atau kita baca secara keseluruhan konfigurasi ini akan berbunyi : "Access list 100(extended) mendeny atau melarang paket data yang menggunakan protokol tcp dari network 192.10.10.0/24 ke (host)13.13.13.2, terutama jika paket data tersebut melewati port atau menggunakan protokol www(port 80, protocol http)".
D. Membuka Jalan Bagi Semua Device untuk Saling Berkomunikasi
Setelah tadi kita telah melarang network 192.10.10.0/24 untuk mengirimkan paket data atau berkomunikasi denga server melalui protokol tcp yaitu pada port 80, supaya network 192.10.10.0/24 tetap bisa berkomunikasi dengan server, maka sekarang kita buka jalur lain yaitu dengan melalui protokol ip.
ket :
- access-list 100 = access lists yang dikonfigurasi
- permit = kebalikan dari deny, yaitu untuk memperbolehkan paket data
- ip = protokol untuk paket data yang akan kita set
- any = semua source atau sumber paket data
- any = semua destination atau tujuan paket data
Jadi, kalau diterjemahkan : "access list 100 membolehkan paket data yang menggunakan protokol IP dari semua source(sumber paket data) ke semua destination(tujuan paket data)"
E. Set Interface untuk Access Lists
Kali ini, kita set di interface yang dimana paket data akan masuk ke router dari arah source address(sumber paket data).
Konfigurasinya |
Verifikasi
Lakukan PING dari PC ke server, coba buka web dari PC(buka domain yang sudah dibuat di server), dan cek acl pada router1 dengan perintah show access-lists.
PC > Server |
PC > web |
show access-lists |
Dengan begitu, anda telah berhasil mengkonfigurasi Extended Access Lists. Sebenarnya masih banyak sekali konfigurasi yang bisa anda lakukan dengan Extended Access Lists ini, namun saya tidak dapat mencontohkannya satu-persatu, karena kembali lagi kepada kebutuhan dari konfigurasi itu sendiri digunakan untuk apa. Jadi, tidak mungkin saya mencontohkan semua konfigurasi untuk semua kondisi yang mungkin terjadi.
Sekian dari saya, mohon maaf apabila banyak salah dan kurang, semangat belajar dan mencoba, akhir kata . . .
Wassalamu'alaikum wr wb
Tidak ada komentar:
Posting Komentar
Silahkan Komentarnya ^^